韓国のSKテレコム、KT、ロッテカード、YES24などの企業におけるハッキング事件が相次いで発生している。目に見えないセキュリティへの投資を怠ってきた韓国企業の責任論とともに、国家レベルで全方位的なセキュリティ・コントロールタワーの設置が求められる声が高まっている。
韓国インターネット振興院(KISA)の情報保護公示総合ポータルによると、2025年の情報保護公示対象企業(773社)のIT部門投資に対する情報保護部門投資比率は、前年(6.06%)からわずか0.23ポイント増加した6.29%にとどまった。
一方、米国のサイバーセキュリティコンサルティング機関IANSリサーチによると、昨年の米国企業における情報保護投資比率は13.2%とされ、韓国企業の2倍を超えている。
米企業の投資比率は2020年と比べて4.6ポイント上昇したが、同期間で韓国企業の増加幅はわずか0.12ポイントにとどまっている。
◇大手通信・金融で続発する情報流出と低すぎる投資額
このように脆弱なセキュリティ投資体制が、韓国企業で相次ぐ大規模なセキュリティ事故につながっている。国民が利用している移動通信3社(SKテレコム、KT、LG U+)のうち、過去3年間で個人情報流出事故を経験していない企業は存在しない。各社のIT投資に占める情報保護投資の比率は▽SKテレコム:4.2%(652億ウォン=約68億3000万円)▽KT:6.3%(1250億ウォン=約130億9000万円)▽LG U+:5.4%(828億ウォン=約86億6000万円)――となっている。
金融業界では、ロッテカードが顧客297万人分の個人・決済情報を奪われたが、同社の情報保護投資額はわずか128億ウォン(約13億4000万円)だった。
YES24では、ランサムウェア攻撃によりすべての顧客情報が流出したにもかかわらず、当初は「ハッキングはなかった」と虚偽の発表をしていたことが発覚した。情報保護投資比率は11.4%だったが、金額に換算するとわずか16億6582万ウォン(約1億7400万円)に過ぎない。
◇恐れているのは「情報流出」より「評判」
2021年から2025年7月までの間に発生した公私の個人情報流出事件に対する平均の課徴金は約7億ウォン(約7330万円)、過料は617万ウォン(約65万円)と非常に低い。これに対し、課徴金を引き上げなければ企業は情報保護への投資に本腰を入れないとの主張が出ている。
しかし、処罰を強化するだけでは逆効果との反論もある。企業がかえって事故を隠蔽するようになる恐れがあるからだ。
2024年、侵害事故を経験しながらも通報しなかった企業の割合は70.4%にのぼった。そのうち17.6%は「被害が公になるのが怖い」という理由を挙げていた。
高麗大学情報保護大学院のキム・スンジュ教授は、次のように提言する。
「海外では企業が被害拡大を防ぐために努力した場合、情状酌量の理由として考慮される。そのため、被害企業が詳細な報告書を作成し、共有する文化がある。こうした措置を制度化することが必要だ」
◇必要なのは“統合セキュリティ国家”
企業に対するハッキング攻撃がますます巧妙化し、個々の企業では対応しきれない水準に達しつつある中、国家レベルでの「サイバーセキュリティ・コントロールタワー」設置の必要性も高まっている。
イ・ジェミョン(李在明)大統領は「企業に責任を問うことも必要だが、進化するハッキング犯罪に立ち向かうために、政府全体で体系的なセキュリティ対策を急がねばならない」と強調した。
また、ペ・ギョンフン(裵慶勲)副首相兼科学技術情報通信相も「ハッキング技術は組織化・高度化しているが、その根本的な対策をどう立てるかに悩んでいる。すべてを包含する総合的な情報保護体制が必要だと考えている」と述べた。
(c)news1
